vege - stock.adobe.com
Sinnvolle Maßnahmen zur Absicherung von Buckets in der Cloud
Viele Unternehmen legen mittlerweile sensible Daten in Cloud Buckets bei AWS ab. Oft geschehen dabei Fehler und die Daten sind frei zugänglich. Welche Maßnahmen gibt es zum Schutz?
Durch die Einführung von Public Cloud Storage sind traditionelle Speicherkonzepte, die auf Festplatten und RAID-Arrays basieren, häufig durch neue, weit flexiblere Optionen ersetzt worden. In einer Cloud-Plattform abgelegte Daten sind weitgehend unabhängig von der zugrundeliegenden Hardware. Dazu kommen nahezu endlose Möglichkeiten, um ihre Redundanz zu erhöhen. Viele davon sind sogar bereits Teil der Standardkonfigurationen.
Auch die Terminologie im Bereich Storage hat sich geändert. So basiert etwa eines der neuen Konzepte, die Amazon verwendet, auf so genannten Buckets. Dabei handelt es sich um Container zum Aufnehmen von Daten. Am einfachsten lassen sich die AWS Buckets (Amazon Web Services) als äußerst flexible, sehr leicht zu nutzende, verteilte Ordner betrachten. Die Buckets können in einer vom Kunden ausgewählten Region untergebracht sein. Wichtige Elemente wie Logging und Performance können dabei problemlos an die Anforderungen und das Budget des jeweiligen Kunden angepasst werden.
Überlegungen zur Sicherheit von Cloud Buckets
Diese hohe Flexibilität hat jedoch auch Nachteile und Risiken. So erlauben viele Cloud-Nutzer mehr oder wenig absichtlich einen öffentlichen Zugriff auf ihre Buckets und die darin abgelegten Inhalte. In manchen Fällen sind fehlerhafte Konfigurationen die Ursache dafür. In anderen Situationen liegt es an einem Mangel an Verständnis über die vergleichsweise junge Technologie. Worin aber auch immer die Gründe zu suchen sind, unsicher konfigurierte Buckets haben in der Vergangenheit zu vielen Datendiebstählen geführt. Vermutlich wird sich das in naher Zukunft auch nicht ändern.
So hat beispielsweise eine fehlerhafte Konfiguration in einem S3 Bucket (Amazon Simple Storage Service) im Februar 2018 zu einem schweren Vorfall bei der Internet-Company LocalBlox geführt. Das Unternehmen, das auf Datenanalysen spezialisiert ist, hatte eine rund 1,2 TByte große Datei mit den Daten von 48 Millionen Anwendern in einem öffentlich zugänglichen S3 Bucket abgelegt. Die Datensätze enthielten auch Informationen über die Interessen der Nutzer sowie ihre jeweiligen IP-Adressen. Erst nachdem LocalBlox auf das Problem aufmerksam gemacht worden war, wurde die Zugriffslücke geschlossen. Es ist nicht klar, ob Unbekannte eine Kopie der sensiblen – und wertvollen – Daten heruntergeladen haben und, falls ja, was sie damit gemacht haben, bevor der allgemeine Zugriff gesperrt wurde.
Sobald bestimmte Daten erst einmal frei verfügbar waren, egal für wie lange, wird es fast unmöglich zu garantieren, dass spätere Konsequenzen einen Datenverlust hätten verhindern können. Die Katze ist dann schon längst aus dem Sack.
Überprüfen der eigenen Buckets
Die Sicherheitsprobleme rund um Daten in der Cloud sind nicht neu. Im Laufe der letzten Jahre wurden viele Tools entwickelt, um die Adressbereiche der öffentlich zugänglichen Cloud Buckets zu scannen. Sobald damit ein frei zugänglicher Bucket gefunden wird, können die meisten Tools seinen Inhalt entweder auflisten oder gleich komplett herunterladen. Interessierte Gruppen erhalten so einen kinderleichten und automatisierten Weg, um an meist versehentlich verfügbare fremde Daten zu kommen.
Der neueste Trend ist dabei das Verwenden von Certificate Transparency Logs, um die Effizienz des Scannens zu verbessern. Diese Logs sollen eigentlich die Prüfung ausgestellter Zertifikate ermöglichen, können aber auch für andere Zwecke missbraucht werden. Die Scan-Tools nutzen die Daten aus den Logs, um Domain-Namen zu finden, die ansonsten auf keiner Liste stehen. Früher mussten die Angreifer dafür Techniken aus dem Bereich Brute Forcing nutzen. Die neue Methode ist dagegen weit effektiver und vor allem schneller und leichter umzusetzen.
Geeignete Sicherheitsmaßnahmen
Manche Anbieter haben nun zumindest einen Teil ihrer Verantwortung akzeptiert, wenn es um die Absicherung ihrer Cloud Buckets geht. Das hat zu interessanten neuen Funktionen und Werkzeugen geführt, die Cloud-Nutzern heute zur Verfügung stehen, um ihre Daten zu schützen.
Traditionelle Sicherheitskontrollen und -prozesse funktionieren natürlich immer noch. Aber sie scheitern oft aufgrund von menschlichen Fehlern oder einem mangelhaften Verständnis der eingesetzten Plattform. So müssen gerade in der Cloud etwa Zugriffsrechte fehlerfrei gesetzt und regelmäßig überprüft werden. Außerdem sollten Skripte und breit einsetzbare Schwachstellen-Scanner genutzt werden, um öffentlich zugängliche Buckets in der eigenen Cloud-Umgebung aufzuspüren. Die Ergebnisse müssen dann sorgfältig ausgewertet und analysiert werden. Das ist alles nicht neu. Diese Maßnahmen und entsprechende Richtlinien müssen aber trotzdem in der Praxis umgesetzt werden, bevor sie eine positive Wirkung entfalten können.
Eine der interessantesten Entwicklungen in diesem Bereich war die Veröffentlichung von Amazon Macie im August 2017. Das Tool entdeckt und klassifiziert automatisch in S3 Buckets abgelegte Daten und nutzt dafür Techniken aus dem Bereich Machine Learning, die ansonsten verwendet werden, um menschliche Sprache zu analysieren. Dieses Konzept wird als zukunftsweisend eingestuft.
Niemand wird von der Hand weisen können, dass es schlicht nicht möglich ist, menschliche Fehler auf Dauer zu verhindern. Aus diesem Grund wurden Kontrollen entwickelt, die in Echtzeit dafür sorgen sollen, dass zumindest die Risiken und andere Konsequenzen minimiert werden, sobald wieder ein menschlicher Fehler auftritt.
Eine weitere Option ist das standardmäßige Aktivieren von Verschlüsselung, die zum Beispiel AWS anbietet. Dadurch wird jede Datei automatisch und sofort verschlüsselt, die in einem Bucket abgelegt wird. Andere Möglichkeiten und Funktionen sind die Zugriffschecks und Alarme, die AWS entwickelt hat. Auch ACLs (Access Control Lists) stehen zur Verfügung. Sie müssen nur genutzt werden.
Außerdem ist es dringend nötig, öffentliche Zugriffe und API-Aufrufe zu überwachen. Alerts sollten beispielsweise automatisch ausgelöst werden, wenn große Dateien erstellt oder kopiert werden. Ein SIEM (Security Information and Event Management) kann zudem genutzt werden, um sicherheitsrelevante Ereignisse mit den ausgelösten Alerts in Verbindung zu setzen. Dafür sollten eigene Regeln und Richtlinien definiert werden.
Datendiebstähle aus Cloud-Storage-Systemen sind ein Problem, mit dem wir noch eine Weile werden leben müssen. Es existieren viele Gründe dafür, warum dieses Thema so brisant ist. Aber es gibt bereits einige technische Möglichkeiten und andere positive Entwicklungen, um die Auswirkungen einzugrenzen. AWS ist sogar schon so weit gegangen, proaktiv auf Kunden zuzugehen, deren Daten öffentlich zugänglich in der Cloud lagen.
Wenn alle genannten Punkte kombiniert werden, entsteht ein solides, gesamtheitliches Sicherheitsmodell, das mehr als ausreichend sein dürfte, um die größten Bedenken bezüglich der öffentlichen Cloud zu zerstreuen. Aber es liegt an den jeweiligen Sicherheitsprofis, die gebotenen Optionen auch wirklich einzusetzen und sie kontinuierlich zu pflegen, um die ihnen anvertrauten Daten in der Cloud effektiv zu schützen.
Folgen Sie SearchSecurity.de auch auf Twitter, Google+, Xing und Facebook!
